A FinFisher kémprogramot eredetileg a brit Gamma International cég készítette elsősorban a kormányzati hírszerző szervezetek számára. A káros szoftver először akkor kapott nagyobb nyilvánosságot, amikor a megbuktatott egyiptomi rezsim elhagyott irodáiban olyan dokumentumokra bukkantak, amelyből kiderült, a Gamma International tárgyalásokat folytatott az egyiptomi titkosrendőrséggel a szoftver megvásárlásáról.
Az utóbbi időben a FinFisher ismét a híradások középpontjába került, mivel néhány hónapja pár bahreini számítógépes szakember egy furcsa kártékony szoftverre hívta fel a figyelmet, amelyről az elemzések során kiderült, kísértetiesen hasonlít a Gamma International programjához. A cég szóvivői tagadják, hogy Bahreinbe értékesítették volna kémprogramjukat, és azt állítják előfordulhat, hogy FinFisher egy bemutató példányát lopták el tőlük. A Bahreinben talált káros szoftver minták alapján a Rapid7 biztonsági cég készített egy elemzést, amely a következő jellemzőket mutatja:
- A káros szoftver elektronikus levél csatolmányaként érkezett „RAR” kiterjesztéssel.
- A tömörített állomány számos Word dokumentumot illetve képet, valamint néhány futtatható állományt tartalmazott.
- A futtatható állományok listája:
– dialoge.exe (MD5: ee5b03b5990dc310b77aac1d32da68de)
– gpj.1egami.exe (MD5: e82647e42868e0ff0b6357fcf0f6e95f)
– gpj.stcepsuS detserrA.exe (MD5: b6d700a58965692e92dce5dbc4323391)
– gpj.bajaR.exe (MD5: d1216d3fd238cd87d9a7e433b6892b98)
– gpj.1bajaR.exe (MD5: ad6f72b851ebcf7bf7c8b1c551140c5f) - A szóban forgó káros szoftver a Virustotal számára már ismert, a következő linken megtalálhatja, hogy mely vírusirtók nyújtanak védelmet a FinFisher-rel szemben, és azt milyen néven azonosítják.
https://www.virustotal.com/file/cc3b65a0f559fa5e6bf4e60eef3bffe8d568a93dbb850f78bdd3560f38218b5c/analysis/ - A Bahreinben felfedezett variáns a 77.69.140.194 IP cím felé kezdeményez kommunikációt a 22, 53, 80 vagy 443 portokon keresztül. Ha valamelyik porton sikerül kiépítenie a kapcsolatot, akkor a továbbiakban ezt használja a C&C infrastruktúrával történő kommunikációra.
- Az elemzés során a következő további C&C szervereket sikerült azonosítani:
– 112.78.143.26 (Indonézia)
– 121.215.253.151 (Ausztrália)
– 78.100.57.165 (Katar)
– 213.55.99.74 (Etiópia)
– 94.112.255.116 (Csehország)
– 213.168.28.91 (Észtország)
– 54.248.2.220 (Egyesült Államok)
– 202.179.31.227 (Mongólia)
– 80.95.253.44 (Csehország)
– 81.198.83.44 (Litvánia)
– 86.97.255.50 (Egyesült Arab Emirátusok)
A FinFisher káros szoftverről és a Bahreinben talált mintáról az alábbi linkeken talál bővebb információt.
https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher
http://tech.cert-hungary.hu/tech-blog/111201/egy-apple-itunes-hiba-kihasznalasaval-kemkedtek-a-bunuldozo-szervek
http://tech.cert-hungary.hu/tech-blog/110427/egy-brit-ceg-kemkedesre-alkalmas-szoftvert-ajanlott-egyiptomnak
http://tech.cert-hungary.hu/tech-blog/111123/itunes-hibat-kihasznalva-kemkedik-utanunk-a-kiberkopo